Geçtiğimiz yılın sonlarında, Accellion Dosya Aktarım Aracı’nın (FTA) güncel olmayan sürümü kullanılarak şirketlere saldırılar gerçekleştirildiğine dair bilgiler çevrimiçi olarak ortaya çıktı. Bazı siber suçlular, Accellion FTA’nın güvenlik açıklarını kullanarak elde ettikleri gizli verileri yayınlamakla tehdit ederek kurbanlardan fidye almaya çalıştı. Sözlerinin de arkalarında olduklarını söylemekten üzüntü duyuyoruz.
Buradaki güvenlik açığı ne?
Accellion FTA, büyük boyutlardaki dosyaların hızlı ve kolayca aktarılması için şirketler tarafından kullanılan bir ağ aracı. Yirmi yıldır var olan bu çözüm, bu yıl artık kullanımdan kaldırılacak; geliştiriciler, uzun bir süre önce daha modern ürünlere geçiş yapılacağına dair çağrıda bulundular.
Aralık 2020’de, söz konusu araçta iki güvenlik açığının — CVE-2021-27101 ve CVE-2021-27102 — keşfedilmesi, saldırganların FTA cihazlarına yüklenen dosyalara erişim sağlamasına neden olmuştu. Bu açıklar çözümlenmiş olsa da, Ocak 2021’de iki güvenlik açığı daha (CVE-2021-27103 ve CVE-2021-27104) ortaya çıktı ve yama uygulandı.
Ancak buna rağmen suçlular, birçok Accellion FTA kullanıcısının verilerini çalmayı başardılar. Bunu, sızıntılar ile ilgili yayınlanan birçok üst düzey basın haberleri izledi. Tüm kurbanlar fidyeyi ödemeyi kabul etmemiş olacak ki, saldırganlar, çaldıkları verileri yayınlama tehditlerini yerine getirdiler.
Siber suçlular verileri nasıl yayınlıyor?
Yakın zamanda, kurbanların itibarlarını çalışanlarının, müşterilerinin, ortaklarının ve rakiplerinin gözünde zedeleme amacıyla toplu e-postalar gönderildiğini tespit ettik. Bu e-postaların kapsamları ve adreslerinin kaynakları kesin olarak bilinmese de, görünen o ki siber suçlular ellerinden geldiğince çok izleyiciye ulaşmaya çalışıyor.
Gönderiler mesajlar, alıcılarını .onion uzantılı bir siteyi ziyaret etmeleri için Tor tarayıcısını kullanmaya zorluyor ve söz konusu internet sitesinin günde on binlerce kez ziyaret edildiğini iddia ediyordu. Sitenin sözde ziyaretçileri arasında, bir şirketin altyapısına ve itibarına çok daha büyük bir zarar verebilecek olan her türden hacker ve gazeteci yer alıyor. İlginç olan bir diğer şey ise, bahsedilen sitenin fidye yazılım alanında uzman olan CL0P gruba ait olması, ancak Accellion FTA’nın güvenlik açıklarından faydalanılmasıyla gerçekleşen bu saldırılarda dosyaların şifrelenmemiş olması. Anlaşılan o ki, hackerların faydalandığı şey bu elverişli platform oldu.
Tabii ki buradaki amaçları, başka kurbanların da gözlerini korkutmak. Bu arada, hem e-postada hem de internet sitesinde, yayınlanan dosyaları kaldırmaları için saldırganlarla iletişime geçilmesi yönünde bilgiler yer alıyor, ancak bilgiler bir kere yayınlandıktan sonra bu durum çok bir anlam ifade etmiyor.
Ayrıca sitede, yöneticilere, verilerin çalındığı güvenlik açıklarının giderilmesiyle ilgili — 250.000 USD değerinde Bitcoin karşılığında— dersler sunan bir reklamın yer aldığını da belirtmeliyiz.
Buna herhangi birinin inanacağından şüpheliyiz. Öncelikle, Accellion FTA’nın geliştiricileri aracın güncellenmiş sürümlerini halihazırda yayınlamış olsalar da, yardım talebinde bulunmak güvenlik açıklarını kapatamadığınızı ve hala bu açıklardan birilerinin faydalanabileceğini kabul etmekle eşdeğer.
Şirketinizi bu tür saldırılara karşı nasıl koruyabilirsiniz?
Her şeyden önce, Accellion FTA’yı güncelleyin — veya daha iyisi, bu çözümü kullanmayı tamamen bırakın (kendi geliştiricileri bile bunu tavsiye ediyor).
Hemen ardından, internet erişimi olan tüm yazılım ürünlerinizi ve hizmetlerinizi güncelleyin. Bunun bir an önce ve sürekli güncellemelerin zamanında yapıldığından emin olunarak yapılması önemlidir.
Ayrıca, henüz bilinmeyenler de dahil güvenlik açıklarından faydalanma girişimlerini tespit edebilen modern bir güvenlik ürünü ile tüm cihazlarınızı — ister iş yerindekiler, ister sunucular veya donanım/yazılım çözümleri olsun — koruyun.
Gaspçıların kurbanı olan hiçbir kişinin para ödemesi yapmalarını önermiyoruz. Daha derinlemesine bir inceleme için Eugene Kaspersky’nin son yazısına bakabilirsiniz.